A10 Network Load Balancer-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie A10 Network Load Balancer-Logs mit einem Bindplane-Agent in Google Security Operations exportieren. Der Parser verwendet zuerst grok-Muster, um relevante Felder zu extrahieren. Anschließend werden mit bedingten Anweisungen (if) die extrahierten Felder dem einheitlichen Datenmodell (Unified Data Model, UDM) zugeordnet. Dabei wird berücksichtigt, ob die Felder vorhanden sind und welchen Inhalt sie haben. So wird letztendlich der Ereignistyp kategorisiert.
Hinweise
- Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
- Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit
systemdverwenden. - Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
- Prüfen Sie, ob Sie privilegierten Zugriff auf den A10 Load Balancer haben.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: A10_LOAD_BALANCER raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentWenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog-Server im A10-Load-Balancer konfigurieren
- Stellen Sie mit einem SSH-Client eine SSH-Verbindung zum A10-Load-Balancer her.
Rufen Sie den Konfigurationsmodus mit dem folgenden Befehl auf:
configKonfigurieren Sie den Syslog-Remoteserver mit dem folgenden Befehl:
logging host <bindplane-server-ip> <port-number>- Ersetzen Sie
<bindplane-server-ip>durch die BindPlane-IP-Adresse und<port-number>durch den in BindPlane konfigurierten Port, z. B.514.
- Ersetzen Sie
Verwenden Sie den folgenden Befehl, um die Schweregrad festzulegen:
logging level information- Dadurch werden Informationsnachrichten (z. B. Warnungen und Fehler) an den Bindplane-Agent gesendet.
Prüfen Sie mit folgendem Befehl, ob das Syslog-Logging aktiviert ist:
logging enableSpeichern Sie die Konfiguration, damit sie nach einem Neustart beibehalten wird:
write memory
Beispiel für eine vollständige CLI-Konfiguration:
config logging host 192.168.1.100 514 logging level info logging enable write memory
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| dns | additional.fields.dns.value.string_value | Der Wert wird aus dem Feld dns übernommen, das vom Grok-Muster extrahiert wird. |
| dns_server | additional.fields.dns_server.value.string_value | Der Wert wird aus dem Feld dns_server übernommen, das vom Grok-Muster extrahiert wird. |
| gslb | additional.fields.gslb.value.string_value | Der Wert wird aus dem Feld gslb übernommen, das vom Grok-Muster extrahiert wird. |
| host_name | hauptkonto.hostname hauptkonto.asset.hostname |
Der Wert wird aus dem Feld host_name übernommen, das vom Grok-Muster extrahiert wird. |
| httpmethod | network.http.method | Der Wert wird aus dem Feld httpmethod übernommen, das vom Grok-Muster extrahiert wird. |
| partion_id | additional.fields.partion_id.value.string_value | Der Wert wird aus dem Feld partion_id übernommen, das vom Grok-Muster extrahiert wird. |
| prin_ip | principal.ip principal.asset.ip |
Der Wert wird aus dem Feld prin_ip übernommen, das vom Grok-Muster extrahiert wird. |
| prin_mac | principal.mac | Der Wert wird aus dem Feld prin_mac übernommen, das vom Grok-Muster extrahiert wurde. Dabei werden Punkte entfernt und alle zwei Zeichen Doppelpunkte eingefügt. |
| prin_port | principal.port | Der Wert wird aus dem Feld prin_port übernommen, das vom Grok-Muster extrahiert und in eine Ganzzahl konvertiert wird. |
| Proto | network.ip_protocol | Der Wert wird aus dem Feld proto übernommen, das vom Grok-Muster extrahiert wird. Wenn das Feld message den Wert UDP enthält, wird der Wert auf UDP gesetzt. |
| sessionid | network.session_id | Der Wert wird aus dem Feld sessionid übernommen, das vom Grok-Muster extrahiert wird. |
| status_code | network.http.response_code | Der Wert wird aus dem Feld status_code übernommen, das vom Grok-Muster extrahiert und in eine Ganzzahl konvertiert wird. |
| tar_ip | target.ip target.asset.ip |
Der Wert wird aus dem Feld tar_ip übernommen, das vom Grok-Muster extrahiert wird. |
| tar_mac | target.mac | Der Wert wird aus dem Feld tar_mac übernommen, das vom Grok-Muster extrahiert wurde. Dabei werden Punkte entfernt und alle zwei Zeichen Doppelpunkte eingefügt. |
| tar_port | target.port | Der Wert wird aus dem Feld tar_port übernommen, das vom Grok-Muster extrahiert und in eine Ganzzahl konvertiert wird. |
| Zeit | metadata.event_timestamp.seconds | Der Wert wird aus dem Feld time geparst, das vom Grok-Muster extrahiert wird. Dabei werden mehrere mögliche Datumsformate verwendet. |
| URL | target.url | Der Wert wird aus dem Feld url übernommen, das vom Grok-Muster extrahiert wird. |
| Nutzer | principal.user.userid | Der Wert wird aus dem Feld user übernommen, das vom Grok-Muster extrahiert wird. |
| – | metadata.event_type | Wird von der Parserlogik basierend auf dem Vorhandensein von Informationen zu Haupt- und Zielpersonen bestimmt: – NETWORK_CONNECTION: wenn sowohl Informationen zu Haupt- als auch zu Zielpersonen vorhanden sind.– STATUS_UPDATE: wenn nur Informationen zum Hauptkonto vorhanden sind.– GENERIC_EVENT: Andernfalls. |
| – | metadata.log_type | Hartcodiert auf A10_LOAD_BALANCER. |
| – | network.application_protocol | Wird auf HTTP gesetzt, wenn das Feld proto gleich HTTP ist. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten